Друзья, я сломал мозг.
Подскажите, как прозрачно перенаправить трафик с одного сервера на другой. Оба сервера на Debian, на обоих по 3-4 белых ip. Вариант с iptables, DNAT и маскарадом не катит т.к. на сервере куда передаётся трафик в запросах должны светиться ip клиентов, а не сервера транслирующего трафик.
33 Responses to Debian — как прозрачно перенаправить трафик с одного сервера на другой ?
Добавить комментарий
Последние просмотренные
ДЖАВА скрпт и.
ДЖАВА скрпт и.РФ Столкнулся с такой незадачейу одного человека сайт на рф домене, и проблема вот в чем. Не...купил шаблон на WordPress
Уважаемый %username%, пишу вам из глубокой задницы нашей страны, которая погрязла вначале в митингах, потом в...иищю человека ( умещающего писать саты)
Добрый день, ищю человека ( умещающего писать саты) для совместного проекта-портала, кто хочет поучаствовать...Вопрос по MySQL
YII вопросПоскажите плз, что я не правильно делаюимеются две таблицы (не нужные поля вырезаны) CREATE TABLE IF NOT EXISTS...что купить в подарок программисту ?
Есть у меня коллега, скоро день рождения. Бюджет на подарок 3500 рублей. Поскольку человек увлекается...Мониторить виртуалку с Debian
Привет всем Встала задача мониторить отдельностоящую виртуалку с дебианом. Желательно с sms-уведомлениями....Доброе утро!
Доброе утро! Я тут в субботу решил почистить пылесборник. Чистота, здоровье — вот это всё. Раскрутил,...Товарищи!
Товарищи! А давайте поговорим о том, о чем не принято говорить? Собственно сколько должен получать/сколько...Пацаны, подскажите, пожалуйста решение задачи с уведомлениями хромовскими.
Пацаны, подскажите, пожалуйста решение задачи с уведомлениями хромовскими. Есть у меня некие уведомления. У...Друзья, нужен хороший предельно надежный хостинг, в серьезной компании, за пределами России.
Друзья, нужен хороший предельно надежный хостинг, в серьезной компании, за пределами России. Как там сейчас...
тунельчик ip-over-ip?
Надо понимать, что светиться они должны не в веб-сервере и вообще в приложениях, где нет штуки типа X-Forwarded-For, да?
IP-спуфинг – это подмена адреса отправителя, одного из полей IP-заголовка, методом записи другого значения. Сложность заключается в том, что машина, получив заголовок с таким адресом, отправит ответ на этот адрес, а не на адрес крэкера.
можно обратно в тунель зарулить через PBR
скажи хоть что за трафик то
Stephan-V: да, это подойдёт. Я загуглил слово ipencap.
обычный UDP трафик. сервера стрелялок всяких там висят.
Stephan-V: то есть мутить туннель между этими серверами и слать трафик в него?
Я, конечно, всегда в подобных постах против оффтопика и уклонения от ответа на конкретно заданный вопрос. Но здесь приемлемый ответ уже дан, поэтому всё-таки позволю себе спросить: а ты не рассматривал вариант поставить простую железячку вместо горождения туннелей?
есть чо? Не уверен. Мне через 4 машины в одном ДЦ нужно транслировать трафик (и отдавать) на 30 машин в другом ДЦ.
стандартный gre туннель вроде решит твои проблемы.
почему бы тебе через одну-две железки не транслировать трафик на все 34 машины, не загружая 4 из них простыми туннелями?
курить racoon?
зачем?
…
я б ipip воспользовался, зачем GRE
Stephan-V: да чет привык я как-то
упёрся в маршрутизацию: поднял gre туннель между сервером А х.х.х.х (10.9.8.1) и сервером В у.у.у.у (10.9.8.2), пытаюсь завернуть трафик
на сервере А
route add -net х.х.х.х netmask 255.255.255.252 gw 10.9.8.1 dev tun0
неидёт :
ip r sh?
tcpdump -i tun0?
это неправильная идея вообще. маршруты между серверами у тебя итак правильные, между ними должны напрямую ходить только пакеты тунеля. а через тунель тебе нужно завернуть маршруты ко всем хостам при условии, что порт отправителя — порт твоего приложения. в этом тебе поможет PBR. а чтобы из тунеля трафик достигал цели, тебе нужно выключить rp_filter
и пусть все знают где я работаю
на сервере А
ip r sh
188.127.246.124/30 via 10.0.201.1 dev tun0 scope link
запускаю ping ip_на_котором_туннель
tcpdump -i tun0 -n
тишина
я б вообще на туннелях не стал адреса поднимать
а что за железки то? я ж не настоящий сварщик, пока, — в утюгах не разбираюсь :
я тоже не знаю 🙂 кошками точно можно, чем-то подешевле — не знаю.
nc (netcat) может слушать на одном порту и перекидывать на другой
может, но у меня на вскидку больше 1200 пар — gateway_ip:port -> target_ip:port получается. 1200 nc запускать как то сыкотно.
А что, для iptables нельзя написать правило, которое будет подменять source-ip?
можно, если нужно изменять на один и тот же адрес. А у меня нужно менять на адрес клиента, коих тысячи :
Stephan-V: снова взялся за этот кактус.
Почитал про PBR, делаю
ip route add default via 10.0.201.2 table 120
ip rule add from all to 83.222.115.30 table 120
По идее же если извне пинговать 83.222.115.30 tcpdump -i tun0 должен что то ловить?
Или опять ошибаюсь?
Stephan-V: ну и sysctl net.ipv4.conf.tunl0.rp_filter=0 сделал
критерием должен быть порт приложения
Stephan-V: да чёрт с ним с портом. весь трафик же можно таким образом перенаправить. Или обязательно iptables маркать пакеты и fwmark в правилах iproute использовать?
если ты весь трафик хочешь направить через туннель, тогда вообще всё просто — маршрут к пиру тунеля через реальный гейт, а дефолтным dev tun0
Stephan-V: как то так
ip route add 10.0.201.2 via 83.222.115.30 dev tun0
ругется мол нет процесса — «RTNETLINK answers: No such process»
никакого via